وقام فريق أبحاث الذكاء الاصطناعي في مايكروسوفت بتحميل بيانات التدريب إلى منصة GitHub في محاولة لتزويد الباحثين الآخرين بنماذج مفتوحة المصدر ونماذج الذكاء الاصطناعي للتعرف على الصور، مما أدى إلى كشف 38 تيرابايت من البيانات عن غير قصد، وفقا لموقع The Verge الأمريكي.
اكتشفت شركة Wiz، وهي شركة للأمن السيبراني، رابطًا مدرجًا في ملفات تحتوي على نسخ احتياطية لأجهزة الكمبيوتر الخاصة بموظفي Microsoft.
يقول Wiz إن هذه النسخ الاحتياطية تحتوي على كلمات مرور لخدمات Microsoft، ومفاتيح سرية، وأكثر من 30 ألف رسالة داخلية من Teams من مئات موظفي شركة التكنولوجيا العملاقة. ومع ذلك، تؤكد مايكروسوفت في تقريرها الخاص حول الحادثة أنه “لم يتم الكشف عن أي بيانات للعملاء”، ولم يتم تعريض أي خدمات داخلية أخرى للخطر.
تم تضمين الرابط عمدا مع الملفات حتى يتمكن الباحثون المهتمون من تنزيل النماذج المدربة مسبقا. هذا الجزء لم يكن من قبيل الصدفة. استخدم باحثو مايكروسوفت ميزة Azure تسمى “SAS Tokens”، والتي تتيح للمستخدمين إنشاء روابط قابلة للمشاركة تتيح لأشخاص آخرين الوصول إلى البيانات الموجودة في حساباتهم. تخزينهم اللازوردي.
يمكن للمستخدمين اختيار المعلومات التي يمكن الوصول إليها من خلال روابط SAS، سواء كانت ملفًا واحدًا أو حاوية كاملة أو وحدة تخزين كاملة. وفي حالة مايكروسوفت، شارك الباحثون رابطًا يمكنه الوصول إلى حساب التخزين الكامل.
اكتشف Wiz المشكلة الأمنية وأبلغ Microsoft عنها في 22 يونيو، وألغت الشركة رمز SAS بحلول 23 يونيو. وأوضحت Microsoft أيضًا أنها كانت تعيد فحص جميع مستودعاتها العامة، لكن نظامها وضع علامة على هذا الرابط المحدد باعتباره ” “إيجابية كاذبة”، قامت الشركة بعد ذلك بإصلاح المشكلة، حتى يتمكن نظامها من اكتشاف رموز SAS المميزة التي تكون متساهلة للغاية عما هو مقصود في المستقبل.
على الرغم من إصلاح الرابط المحدد الذي اكتشفه Wiz، فمن المحتمل أن تؤدي رموز SAS المميزة التي تم تكوينها بشكل غير صحيح إلى تسرب البيانات ومشكلات الخصوصية الرئيسية. تعترف Microsoft بأنه “يجب إنشاء رموز SAS المميزة والتعامل معها بشكل مناسب” ونشرت أيضًا قائمة بأفضل الممارسات عند استخدامها، والتي من المفترض (نأمل) أن تمارسها بنفسها.